大型僵尸网络攻击WordPress博客平台和Joomla网站平台

两大僵尸网络正在使用或瞄准了各种内容管理系统,包括非常流行的WordPress博客平台和Joomla网站平台。企业和服务供应商网络安全和管理解决方案领先供应商Arbor Networks指出,最近的一次行动开始于2013年5月底,行动名称为“Fort Disco”。 Arbor公司已经发现了6个命令与控制服务器,在超过25,000台受感染的Windows机器上运行,这些机器被用来不断尝试密码组合来暴力攻击CMSs。

僵尸系统网站瞄准CMSs

迄今为止,有6,000多台安装了WordPress博客平台、Joomla网站平台和Datalife Engine商业CMS系统的机器受到了危害。Arbor深刻理解此次行动的意义,因为在“Fort Disco”行动之后留下了一些可以公开获取的日志文件。尽管存在这方面疏忽,僵尸系统主网站还是使用了一些半智能恶意软件来逃避侦查。

他们至少使用了4种恶意软件,这些软件会接受指令并把重点放在目标网站,其中包含5,000到10,000个之间的一个时间变量列表。另一条指令会告诉软件该使用什么密码,有时还会对密码提供统一资源定位器(URL)。僵尸系统主网站将获得成功非法闯入的返回报告。

在788个案例中,目标网站上被安装了PHP文件后门,允许攻击者浏览文件系统、上传或下载文件以及在受感染的服务器上执行命令。Arbor公司的Matthew Bing说道:“通过向受害站点上传PHP shell脚本,攻击者可以轻而易举地向千万个受害网站发布指令。”

在一些网站上,有一个重定向器向用户发送Styx透代码工具包。Arbor公司认为,攻击者正在吸纳CMSs和博客平台为僵尸网络的一部分为将来的攻击做准备。

Arbor公司认为,侵入者的总部在苏联国家。大多数目标网站都设在俄罗斯或乌克兰境内,而所有的指挥控制网站都在这两个国家。恶意软件一开始是怎样侵入到机器当中的,这仍然是个未解之谜。“我们能够看出,恶意软件原始文件名(maykl_lyuis_bolshaya_igra_na_ponizhenie.exe)的含义与Michael Lewis俄文版的书《以大见小:末日机器》有关,该文件带有可执行的附件。”

“另一个文件名(proxycap_crack.exe)指的是ProxyCap程序的破裂。目前尚不清楚受害者是否曾被引诱运行这些文件。如果是的话,这就是唯一的感染途径。关于感染机理,C&C 网站并未提供任何附加的线索。”

趋势科技(Trend Micro)公司警告说,成千上万以WordPress博客平台、Drupal系统、Joomla网站平台为基础的受害网站正在成为滥发垃圾邮件的僵尸网站的一部分。受害网站包含有效载荷链接和垃圾邮件脚本,并发送给用户以传播恶意软件。

趋势科技公司认为,有195,000域和IP地址受到感染,变成StealRat垃圾邮件僵尸网路的一部分。该公司在本周发表的博客中说道:“这些受害网站的共同点是它们都使用脆弱的CMS运行软件。”